信息安全等级保护PPT学习课件.ppt

1、单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2020/2/17,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2020/2/17,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2020/2/17,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2020/2/17,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五

2、级,2020/2/17,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2020/2/17,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2020/2/17,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2020/2/17,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2020/2/17,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2020/2/17,#,单击此处编辑母版标题样式,单击此

3、处编辑母版文本样式,第二级,第三级,第四级,第五级,2020/2/17,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2020/2/17,#,张泽军,等级保护,1,CONTENTS,目录,一、等级保护背景,二、等级保护要点,三、等级保护（技术,&,管理）,2,等级保护背景,信息安全作用和战略意义,信息安全保护发展历史,我国重要的信息安全保护标准,3,信息安全作用和战略意义,威胁事件,2012.7,雅虎服务器被黑,45,万用户信息泄露,2013.10,慧达驿站软件漏洞导致连锁酒店数据库被拖库,2000,万条开房记录泄露,2018.3 facebook,数

4、据外泄，被欧美等国问责调查，市,值蒸发,360,亿美元,英国多家银行被“特洛伊木马”病毒攻击，约,10,亿英镑被盗,2002.7,首都机场因计算机故障导致,6000,多人滞留，,150,多架飞机延误,2016.10,美国,Dyn DNS,遭到,DDoS,攻击，造成大量网站一,度瘫痪，,Twitter24,小时,0,访问,西方国家伪造“罗马尼亚国家安全部队”屠杀,群众电视画面并利用互联网和广播电视向罗,马尼亚境内不间断播放，激化其国内矛盾，导,致当权政权垮台,作用和意义,提高信息安全防护能力,降低系统被各种攻击的风险,保障系统正常稳定的运营,避免或减少经济风险,政治意义：防范敌对势力进行的政治攻

5、击,经济意义：有助于规避经济安全风险或最大,限度的减少这类风险,文化意义：确保自身文化安全，防止敌对文,化入侵,4,等级保护发展历史介,5,中国等保发展历程,前期储备阶段,1994,年,中华人民共和国计算机信息系统安全保护条例,法律基础,1999,年,计算机信息系统安全保护等级划分准则,(GB 17859-1999),等级划分,二,.,预备阶段,2004,年,关于信息安全等级保护工作的实施意见,制度框架规划,2006,年,关于开展信息安全等级保护试点工作的通知,试点工作,三,.,全面实施阶段,2007.6,信息安全等级保护管理办法,等保的划分，实施和管理进行规定,2008,年,信息安全技术信息

6、系统安全等级保护基本要求,(GB/T 22239-2008),等级评测标尺,四,.,深化推进阶段,2010.4,关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知,阶段性目标,2010.12,关于进一步推进中央企业信息安全等级保护工作的通知,央企贯彻执行等保,6,TCSEC,、,CC,和,GB17859-1999,定级划分,D:,最小保护级,C1:,自主安全保护级,C2:,受控访问保护级,B1:,标记安全保护级,B2:,结构化保护级,B3:,安全域保护级,A1:,验证设计保护级,TCSEC,GB17859-1999,1:,自主安全保护级,2:,受控访问保护级,3:,标记安全保护级,4

7、结构化保护级,5:,安全域保护级,EAL1:,功能性测试,EAL2:,结构化测试,EAL3:,具有方法学的测试和检查,EAL4:,具有方法学的设计、测试和审查,EAL5:,半形式化的设计和测试,EAL6:,半形式化验证的设计和测试,EAL7:,形式化验证的设计和测试,CC,7,十大重要标准,基础类,计算机信息系统安全等级保护划分准则,（,GB 17859-1999,）,信息系统安全等级保护实施指南,（,GB/T 25058-2010,）,应用类,定级：,信息系统安全保护等级定级指南,（,GB/T 22240-2008,）,建设：,信息系统安全等级保护基本要求,（,GB/T 22239-20

8、08,）,信息系统通用安全技术要求,（,GB/T 20271-2006,）,信息系统等级保护安全设计技术要求,（,GB/T 25070-2010,）,测评：,信息系统安全等级保护测评要求,（,GB/T 28448-2012,）,信息系统安全等级保护测评过程指南,（,GB/T 28449-2012,）,管理：,信息系统安全管理要求,（,GB/T 20269-2006,）,信息系统安全工程管理要求,（,GB/T 20282-2006,）,8,其它相关标准,信息安全技术,信息系统物理安全技术要求,GB/T 21052-2007,网络基础安全技术要求,GB/T 20270-2006,信息系统通用安全技

9、术要求,GB/T 20271-2006,操作系统安全技术要求,GB/T 20272-2006,数据库管理系统安全技术要求,GB/T 20273-2006,信息安全风险评估规范,GB/T 20984-2007,信息安全事件管理指南,GB/T 20985-2007,信息安全事件分类分级指南,GB/Z 20986-2007,信息系统灾难恢复规范,GB/T 20988-2007,9,等级保护标准系列逻辑关系,10,等级保护要点,保护对象：信息系统安全；客体、社会关系,安全保护能力：对抗能力；恢复能力；不同等级的安全保护能力,安全要求：信息安全类（,S,类）；服务保证类（,A,类）,;,通用安全保护类（

10、G,类）,11,等保要点,(GB/T 22239),保护对象受到破坏时受侵害的客体,对客体的侵害程度,一般损害,严重损害,特别严重损害,公民、法人或其他组织的合法权益,第一级,第二级,第二级,社会秩序、公共利益,第二级,第三级,第四级,国家安全,第三级,第四级,第五级,安全保护等级,信息系统定级结果组合,第一级,S1A1G1,第二级,S1A2G2,S2A2G2,S2A1G2,第三级,S1A3G3，S2A3G3,S3A3G3,S3A2G3,S3A1G3,第四级,S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4,S4A2G4,S4A1G4,第五级,S1A5G5,S2A5G5,

11、S3A5G5,S4A5G5,S5A4G5,S5A3G5,S5A2G5,S5A1G5,确定业务信息,&,系统服务安全等级,各安全等级信息系统保护要求组合,12,基本要求（,GB/T 22239,）控制点,安全要求类,层面,一级,二级,三级,物理安全,7,10,10,网络安全,3,6,7,主机安全,4,6,7,应用安全,4,7,9,数据安全及备份恢复,2,3,3,管理要求,安全管理制度,2,3,3,安全管理机构,4,5,5,人员安全管理,4,5,5,系统检索管理,9,9,11,系统运维管理,9,12,13,合计,48,66,73,差级,18,7,13,基本要求（,GB/T 22239,）控制项,安

12、全要求类,层面,一级,二级,三级,物理安全,9,19,32,网络安全,9,18,33,主机安全,6,19,32,应用安全,7,19,31,数据安全及备份恢复,2,4,8,管理要求,安全管理制度,3,7,11,安全管理机构,4,9,20,人员安全管理,7,11,16,系统检索管理,20,28,45,系统运维管理,18,41,62,合计,85,175,290,差级,90,115,14,安全策略体系,15,等级划分准则（,GB178591999,）,16,等保要求,(,技术,&,管理,),物理安全；网络安全；主机安全；,应用安全；数据库安全及备份恢复,17,物理安全整改要点,18,网络安全整改要点,19,主机安全整改要点,20,应用安全整改要点,21,数据库安全及备份恢复整改要点,22,二级和三级等保具体要求对比,23,THANK YOU,By,：,cqvip-,张泽军,24,